Lo hemos dicho más de una vez en este blog: cuando hablamos de ciberseguridad no solo hay que actuar de manera reactiva, sino también preventiva, porque la mejor manera de defenderse de un ataque es adelantarse a él, anticiparse y evitar que se produzca.
Por ello, cada vez son más las empresas que, en su ánimo por anticiparse, dedican parte de sus recursos de ciberseguridad empresarial a estudiar nuevas tendencias, analizar las últimas estrategias de cibercrimen y, en definitiva, poder proteger la seguridad informática de su compañía de una manera mucho más efectiva, evitando los problemas antes siquiera de que lleguen.
Es aquí donde surgen dos conceptos muy frecuentes dentro del sector: el honeypot y el sandboxing, dos conceptos de prevención de riesgos informáticos que pueden parecer similares, pero que en realidad guardan algunas diferencias.
¿Qué es el honeypot?
El honeypot es una estrategia de ciberseguridad dirigida, entre otras cosas, a engañar a los posibles cibercriminales. Ya sea mediante software o a través de la acción humana, el honeypot hace que una empresa simule tener algunas ‘puertas de entrada’ a sus sistemas que no han sido suficientemente protegidas.
La táctica es la siguiente. De manera previa, una empresa decide habilitar una serie de servidores o sistemas cuyo aspecto parezca sensible. Aparentemente, esa empresa se ha dejado varios cabos sin atar y parece vulnerable. Una vez dejada la trampa, la intención es atraer al atacante, que acudirá a la llamada para intentar entrar. Sin embargo, lo que el cibercriminal no sabe es que, lejos de estar encontrando una puerta vulnerable, en realidad está siendo perfectamente controlado y monitorizado por la empresa en cuestión.
De este modo, las empresas obtienen un beneficio triple: en primer lugar, contener posibles ataques verdaderamente peligrosos; en segundo, entretener y desgastar al atacante haciéndole perder el tiempo; y en tercero, analizar sus movimientos para detectar posibles nuevas formas de ataque que se estén llevando a cabo en el sector.
El honeypot es similar al llamado contraespionaje de ciberseguridad, que también opta por colocar señuelos de ciberseguridad que, aparentando ser vulnerables, consigan atraer a los atacantes para engatusarlos y frenar sus ataques a la vez que espían, analizan y monitorizan todos sus movimientos.
De hecho, existen formas de sofisticar aún más el asunto: si el honeypot no se desarrolla sobre redes sin usar, sino sobre aplicaciones y sistemas totalmente reales, hablaremos de otro concepto, el de honeynet, que conseguirá engañar aún más al cibercriminal y hacerle creer, sin ninguna posibilidad de dudas, que está consiguiendo atacar la seguridad informática de la empresa.
El honeypot, en definitiva, es una estrategia que puede resultar muy útil, sobre todo, en el caso de las grandes empresas, ya que suelen almacenar mucha más información confidencial y, por su propio volumen de actividad, resultan más atractivas para los posibles atacantes.
¿Qué es un sandbox?
El sandbox, por su parte, incluye varios elementos distintos frente al honeypot. En este caso se trata de una táctica menos arriesgada que se lleva a cabo cuando una empresa tiene la sospecha de que alguno de sus programas o aplicaciones puede contener malware.
En ese supuesto, la compañía aislará totalmente ese proceso: lo situará en otro servidor, cerrará las posibles puertas de entrada, lo ejecutará dentro de un solo ordenador, impedirá por completo que ese ordenador establezca ningún tipo de conexión con otro dispositivo de la compañía, etc.
Así pues, mientras el objetivo del honeypot es atraer al atacante para evitar su ataque y hacerle perder el tiempo, el sandbox se centra en evaluar las posibles infecciones que ya hayan podido afectar al sistema y ejecutarlas de manera aislada para que no afecten al resto de la compañía.
El sandbox, por tanto, se presenta como una opción idónea para aquellas empresas que trabajen con material que haya sido descargado de internet y cuya fiabilidad informática haya sido puesta en duda. También es muy útil cuando un empleado, a consecuencia de la falta de concienciación y formación en ciberseguridad, haya descargado del correo electrónico un archivo cuya apariencia lo haga peligroso para la seguridad informática de la compañía.
Y es que hay una cosa que debe quedar claro en todas las empresas: independientemente de su tamaño, a día de hoy todas son susceptibles de ser atacadas y de sucumbir al cibercrimen. Así que, en este contexto, es imprescindible ampliar el abanico de opciones a la hora de proteger su ciberseguridad mediante la prevención de riesgos informáticos.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
